Fedora 14：asterisk-1.6.2.17-1.fc14（2011-2438）

medium Nessus プラグイン ID 52602

Language:

概要

リモート Fedora ホストに、セキュリティ更新がありません。

説明

Asterisk 開発チームが、Asterisk 1.6.2.17 のリリースを発表しています。このリリースは、 http://downloads.asterisk.org/pub/telephony/asterisk/ で今すぐダウンロードするために、ご利用いただけます。 Asterisk 1.6.2.17 のこのリリースにより、コミュニティから報告されている複数の問題が解決されるとともに、皆様のご参加なしにはこれは不可能でした。ありがとうございます！以下は、このリリースで解決された問題のサンプルです。

- DIALGROUP() を使用した場合の AstDB の重複データを解決（問題 #18091 の対処完了。bunny による報告。
tilghman によりパッチ済み）

- res_config_odbc により無効なデータをフィールドに入力できる問題を修正します。（問題 #18251、#18279 が閉じられます。
bcnit、zerohalo による報告trev、jthurman、elguero、zerohalo によってテスト済み。tilghman によりパッチ済み）

- cdr_pgsql を使用するとき、呼び出しの応答がないと billsec フィールドが正しく入力されませんでした。（問題 #18406 をクローズする。
joscas による報告。tilghman によりパッチ済み）

- SUBSCRIBE の再送信により存在を破壊される問題を解決します。（問題 #18075 をクローズする。mdu113 による報告twilson によりパッチ済み）

- ファイルストレージで機能しない転送ボイスメールを発生する回帰を修正します。（問題 #18358 をクローズする。cabal95 による報告jpeeler によりパッチ済み）

- この Asterisk のバージョンには、新しいコンパイラフラグオプション BETTER_BACKTRACES が含まれており、libbfd を使用して、Asterisk バイナリと読み込み済みモジュールの両方で、より優れた記号情報が検索でき、問題を追跡するためのインラインバックトレースを使用するときの助けになります。（tilghman によりパッチ済み）

- DTMF ベースのアテンド付き転送でのいくつかの問題を解決します。（#17999、#17096、#18395、#17273 の問題を解決します。iskatel、gelo、shihchaun、grecco により報告。
rmudgett によりパッチ修正）。注：これらの変更の詳細については、変更ログを必ずお読みください。

- res_timing_dahdi を使用するときに楽曲の保留が発生しない問題を解決します。（問題 #18262 の対処完了。
francesco_r による報告。cjacobson によるパッチ処理。francesco_r、rfrantik、one47 によりテスト済み）

- キューメンバーをリング状にする時にキューの動作を変更させていた回帰を修正します。（問題 #18747、#18733 が閉じられます。
vrban による報告。qwell によるパッチ処理。）さらに、このリリースには、 http://downloads.asterisk.org/pub/security/AST-2011-002 で閲覧できる、Security Bulletin AST-2011-002 に関連する変更もあります。
pdf このリリースにおける変更の完全なリストについては、変更ログを参照してください：
http://downloads.asterisk.org/pub/telephony/asterisk/ChangeLog- 1.6.2.17 Asterisk プロジェクトセキュリティアドバイザリ - AST-2011-002 製品 Asterisk サマリー、UDPTL コードにおける複数の配列オーバーフローおよびクラッシュの脆弱性、アドバイザリの性質、悪用可能なスタックおよびヒープの配列オーバーフローの可能性、認証されていないリモートセッション、重要度：重大、既知の悪用：なし、報告日： 2011 年 1 月 27 日、報告者：Matthew Nicholson 氏、投稿日： 2011 年 2 月 21 日、最終更新日：2011 年 2 月 21 日、アドバイザリの連絡先：Matthew Nicholson氏＜mnicholson at digium.com＞、CVE 名、説明：UDPTL パケットをデコードする際に、複数のスタックおよびヒープベースの配列が特別に細工されたパケットによりオーバーフローする可能性があります。T.38 パススルーまたは終了を行うシステムが脆弱です。解決策：悪用可能な配列の限度を考慮して、UDPTL デコードルーチンが変更されています。この問題用の修正を含まない Asterisk のバージョンでは、T.38 サポートを無効にすることで、この脆弱性の悪用が回避されます。t38pt_udptl オプションを「no」に設定することで（これはデフォルトでオフです）、T.38 サポートを chan_sip で無効にできます。 t38pt_udptl = no、以下の行を modles.conf に追加することで、 chan_ooh323 モジュールも無効にする必要があります。noload => chan_ooh323、影響を受けるバージョン製品リリースシリーズ： Asterisk Open Source 1.4.x、Asterisk Open Source 1.6.x のすべてのバージョン、Asterisk Business Edition C.x.x のすべてのバージョン、 AsteriskNOW 1.5 のすべてのバージョン、s800i（Asterisk Appliance） 1.2.x のすべてのバージョン、すべてのバージョンが修正済みです。製品リリース Asterisk Open Source 1.4.39.2、1.6.1.22、1.6.2.16.2、 1.8.2.4、Asterisk Business Edition C.3.6.3：パッチ URL のブランチ： http://downloads.asterisk.org/pub/security/AST-2011-002- 1.4.diff 1.4、 http://downloads.asterisk.org/pub/security/AST-2011-002- 1.6.1.diff 1.6.1 http://downloads.asterisk.org/pub/security/AST-2011-002- 1.6.2.diff 1.6.2、 http://downloads.asterisk.org/pub/security/AST-2011-002- 1.8.diff 1.8 リンク：Asterisk 製品セキュリティアドバイザリは http://www.asterisk.org/security に掲載されます。この文書は最新バージョンに置き換えられる可能性があり、最新バージョンは http://downloads.digium.com/pub/security/AST-2011-002.pdf および http://downloads.digium.com/pub/security/AST-2011-002.html に掲載されます。変更履歴、編集者が変更を行った日：2011 年 2 月 21 日、 Matthew Nicholson、当初のリリース：Asterisk 製品セキュリティアドバイザリ - AST-2011-002、Copyright (c) 2011 Digium, Inc. 無断複写・転載を禁じます。このアドバイザリーを元のまま変更せず配布および発行する許可を、ここに与えます。

注意：Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。